整个行业已经建立了规模巨大的硬件和软件系统以执行这些功能，如果你是一个大型企业，比如那些财富500强的公司，配备了成打的T-3线路，在超过100个国家中的办公室有5000名雇员，那么这些方案还只是一个入场券而已，还有其他方法么？

工具
我们来假定一下，一个设计良好、预算较低的防火墙或VPN系统可能需要的功能和性能：

这只是一个短短的列表，但里面的功能非常重要。你相信这么一个系统不到300$就可以拿下么？

使用一种叫做“M0n0wall”的嵌入式Unix系统，就可以做到（对，名字里面是阿拉伯数字0，而不是字母O）。

M0n0wall的开发者Manuel Kasper使用Unix的这些功能开发了这套系统，这样他就可以建立一个基于易用的软件部件，可被用于非常廉价（但高性能）常用电脑的安全系统。

对M0n0Wall进行测试
现在，在已经说过M0n0wall是一个嵌入式防火墙以及VPN平台后，让我说点别的，那就是虽然绝大多数人都选择了使用嵌入式系统，但是该方式并不是唯一的方式。

用什么硬件？
M0n0wall被设计运行在多种x86系列之上，你可在一台很老的电脑上使用它（如果你想的话）。你需要的只是一台比386更高的系统（含386），以及两块网卡。

更常见的则是将其设置在某个嵌入系统中，一般被称为“Soekris box”，是一个基于x86的系统，可从Soekris Engineering公司获得。Soekris制造多种不同的嵌入系统，但它们都只是中间的硬皮书尺寸不同罢了。

绝大多数情况下，使用soekris net4801是一个好选择；它有3个网络端口，并可以装备加密加速器以提升VPN访问速度。（如果你需要建立一个无线网络的防火墙，Soekris net4521有2个PC卡插槽，你可以插入一块无线网卡，剩下的交给M0n0wall软件即可）。

一旦软件安装完毕（在一台配备了CDROM的电脑上；如果是在Soekris嵌入系统上，软件则是安装在一块16M的CF卡上），其操作其实都是一样的。

它如何工作？
M0n0wall首先是一个防火墙。它可以在一个主机，一个端口或一个数据包的级别上实施规则。规则可以从简单的“阻止所有未路由网络的通信”到复杂的为http（web）通信设置多条规则（从Internet上任意数量的源到内部网络上的任意数量主机）。它也允许你像为特定软件分配通信，建立专用管道和查询一样，为通信提供质量控制服务规则，比如VoIP。

除了驱动规则外，还有VPN系统可用，你可以允许外部用户连到M0n0wall（移动用户访问分支办公室的情况），或者用M0n0wall允许远程办公室直接使用IPSec（安全IP）信道，成为一个更大VPN的组成部分。VPN可以和绝大多数商业防火墙通讯，并使用标准认证方式，所以可以无缝集成到大型网络之中。我的很多客户都使用M0n0wall来替代昂贵的Windows terminal服务器。

整个系统的管理是通过一个正规的网页浏览器进行（你可以看看图片集锦，里面有非常多的M0n0wall有关图片）。连接可以通过HTTP进行，如果需要更多的安全性，则可以通过一个安全的SSL连接。最后，M0n0wall不仅可以产生实时的通信图形，以便管理员正确察看当前进行的状态，还可以通过网络记录事件，错误，安全警告到另一个系统中，从而协助进行审核和安全管理。

工具适合工作否？
在一个信息安全几乎天天上新闻的年代，而预算却从未富余过，所以一旦找到了好机会，IT和安全管理员就需要好好利用它。M0n0wall是一个令人惊讶的小软件包，却和大型商业防火墙/安全软件的性价比形成了激烈的竞争。如果你有一个小到中型的企业，或者是一个更大的公司，在寻找一个非常具有性价比的远程办公连接方案来连接你的地方/分支办公室，那么M0n0wall就是你的不二之选。

（责任编辑:陈毅东）

查看本文的国际来源